Révélations Centreon : un appel à la vigilance plus qu’un signal d’alarme

En ouverture de l’édition 2019 du Forum International de la Cybersécurité (FIC), Guillaume Poupard, le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), expliquait que sa principale inquiétude concernait les attaques où « l’objectif n’est pas explicite », où l’on cherche à s’introduire sans viser de résultats immédiats. Pour lui, « certains préparent des conflits futurs et cherchent à prépositionner des charges ». Et il l’a répété à nouveau au mois de janvier, faisant le bilan de l’année 2020.

Cette édition 2019 du FIC marquait un tournant, en cela que l’on parlait enfin ouvertement des attaques sur la chaîne logistique. Laurent Nuñez, alors secrétaire d’État auprès du ministère de l’Intérieur, évoquait des attaques en « mode rebond ».

Bien sûr, à l’époque, les plus aguerris pensaient à l’exemple historique de l’attaque ayant touché RSA. À l’automne 2011, l’éditeur tirait publiquement les leçons d’une opération ayant notamment conduit à des attaques chez Lockheed Martin et Northrop Gumman. Plus tard, en 2017, la compromission de l’éditeur russe MeDoc avait servi de point de départ à l’incident NotPetya. Mais c’était bien avant la découverte de la vaste et très sophistiquée opération partie de la compromission d’instances SolarWinds, révélée tout récemment.

Aujourd’hui, les révélations de l’Anssi autour d’une campagne d’attaque ayant touché, selon elle, plusieurs entités françaises, en s’appuyant sur des instances de l’outil de supervision Centreon, apportent un contexte supplémentaire aux déclarations répétées de Guillaume Poupard.

De fait, il est difficile d’imaginer qu’en évoquant des assaillants prépositionnant leurs charges, le patron de l’Anssi n’ait pas eu, en coulisse, une pensée pour cette campagne. L’agence indique aujourd’hui avoir identifié les premières compromissions fin 2017 ; les dernières l’ayant été encore courant 2020.

Dans sa note d’alerte, l’Anssi indique avoir « constaté sur les systèmes compromis, l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur Internet ». Mais à cette porte dérobée s’en ajoutait une autre, « nommée Exaramel par l’éditeur ESET ». Pour l’agence, « cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm ». Une façon de pointer de manière à peine voilée en direction de la Russie. Le Kremlin n’a pas manqué de réagir en qualifiant « d’absurdes » de telles considérations – sans que cela constitue véritablement une quelconque surprise : Moscou a toujours démenti avoir conduit les attaques informatiques dont d’autres pays pouvaient l’accuser.

De son côté, Centreon a tenu à apporter des « éclaircissements » dans un communiqué de presse, soulignant que « l’attaque décrite par l’Anssi concerne exclusivement des versions obsolètes du logiciel open source », et assurément pas son édition commerciale : « en effet, l’ANSSI précise que la version la plus récente concernée par cette campagne est la version 2.5.2, sortie en Novembre 2014 ». Une version qui n’est plus prise en charge depuis 5 ans. Et entre temps, « 8 versions majeures » ont été publiées.

Et l’éditeur de fustiger un « manque d’hygiène informatique », soulignant qu’outre leur grand âge, les instances concernées étaient directement exposées sur Internet, donc « sans respect de sécurisation des serveurs et des réseaux ».

Surtout, Centreon assure qu’aucun de ses clients utilisateurs de l’édition commerciale de son outil n’a été affecté, et n’avoir « pas distribué ou contribué à propager du code malicieux ». Dès lors, pour lui, « il ne s’agit pas d’une attaque de type supply chain et aucun parallèle avec d’autres attaques de ce type ne peut être fait dans ce cas ».

L’éditeur souligne enfin que la campagne est terminée, comme le précise l’Anssi. Et ce n’est guère une surprise. Il y a fort à parier que l’agence a travaillé à identifier toutes les instances concernées entre temps. En toute discrétion. Son rapport, et les marqueurs techniques associés, et les règles de détection ne seraient d’ailleurs pas diffusés en TLP:White si ce n’était pas le cas. Ce que d’aucuns ne manqueront pas de regretter.

Car il semble bien que le cercle de personnes au courant de cette campagne soit resté très restreint. Ce qui n’a pas manqué de générer une certaine inquiétude dans plusieurs organisations, ce mardi 16 février au matin, à la suite de la publication du rapport. Avec les grincements de dents associés.

De fait, cette approche de la communication sur une campagne s’avère diamétralement opposée à celle retenue par les acteurs concernés par la campagne Solarwinds, où l’alerte est finalement arrivée assez vite après les découvertes initiales, et où les révélations successives se sont enchaînées publiquement comme un véritable feuilleton.

Dès lors, pas de doute, les révélations Centreon n’ont pas à être perçues comme un coup de tocsin, mais plutôt comme un appel à la vigilance et à l’hygiène informatique.